ITPublic : Nous avons évoqué ensemble lors de notre premier entretien l’importance de la sensibilisation à la cybersécurité. Mais nous savons que dans ce domaine, le risque 0 n’existe pas et qu’il faut donc anticiper une potentielle intrusion. Comment se prépare-t-on à ce cas de figure à l’échelle d’un GHT ?
Xavier Stoppini : Un des enjeux majeurs de la gestion de crise cyber est la réactivité. Lorsqu’un incident survient, nous devons nous en rendre compte le plus tôt possible. C’est pourquoi nous devons nous équiper d’outils de détection automatique et bloquer une attaque au moment où elle a lieu.
Je pense qu’une crise cyber est avant tout une crise organisationnelle, car elle implique de réorganiser l’établissement pour se concentrer sur son activité essentielle : les soins médicaux. Or, lorsqu’un établissement subit une cyberattaque, le dysfonctionnement peut durer pendant plusieurs mois. La perturbation des systèmes informatiques peut entraîner des retards voire des annulations d’intervention. Cela peut signifier une perte de chance pour les patients, sans parler des conséquences financières liées à la reconstruction du SI.
Pour limiter l’impact d’une cyberattaque, nous mettons en place des sauvegardes et des procédures de restauration. Ça n’a l’air de rien comme ça, mais c’est plus compliqué qu’il n’y paraît. En effet, lorsqu’on restaure un système, il faut l’isoler sur un réseau pour éviter qu’il y ait un impact sur la production. Par exemple, nous ne pouvons pas nous permettre que le dossier d’un patient soit modifié lorsque nous faisons des tests. Et il n’y a pas que les questions de sauvegarde et de restauration. Nous devons aussi anticiper la coupure des équipements et mettre en place des procédés de reprise automatique.
« Le Plan de Continuité Informatique est un aspect du Plan de Continuité d’Activité. »
Quelle est votre approche des plans de continuité et de reprise d’activité (PCRA) ?
Je fais une distinction entre la continuité et la reprise d’activité au niveau informatique (PCRI) d’une part, et la continuité et la reprise d’activité au niveau de l’établissement (PCRA) d’autre part.
Au niveau informatique, le PCRI est très technique et peut s’étaler sur plusieurs mois. Au niveau de l’établissement, le PCRA est global et poursuit l’objectif prioritaire qu’est la continuité des soins, l’informatique n’étant qu’un aspect du plan.
Tous les établissements ont un plan de continuité d’activité, cela a toujours été prévu dans les plans blancs. Mais au niveau de l’IT, la notion de PCRI est beaucoup plus récente. J’aimerais que cette notion soit portée au plus haut niveau car la distinction PCRA/PCRI permet d’éviter toute ambiguïté et les malentendus qui pourraient en découler. Elle nous permet d’adapter notre discours à nos différents interlocuteurs.
Est-ce qu’il existe un accompagnement au au niveau national ?
Je citerai le programme CaRE (Cybersécurité accélération et Résilience des Établissements), qui comporte 4 grands axes : gouvernance et résilience, ressources et mutualisation, sensibilisation, et enfin, sécurité opérationnelle. Ce programme présente un plan d’actions prioritaires et met à disposition toute la documentation utile, nécessaire et attendue par les établissements de santé. On y trouve par exemple un kit PCA/PRA avec des outils nécessaires à l’écriture de ces plans, ou encore des kits d’exercice de crise cybersécurité.
« Tester nos PCRA/PCRI est un impératif de cybersécurité doublé d’une exigence réglementaire. »
En quoi consistent les exercices de crise cyber ?
Nous devons tester nos PCRA/PCRI. C’est un impératif de cybersécurité doublé d’une exigence réglementaire. Donc nous organisons régulièrement des exercices de crise cyber pour former l’ensemble du personnel aux bons comportements à adopter en cas d’incident. Ces exercices sont pilotés par la DGOS et relayés par les ARS. Concernant le GHT des Alpes maritimes, ces exercices ont été organisés par ieSS (Innovation e-Santé Sud), qui est le GRADes (Groupement Régional d’Appui au Développement de la e-Santé) de la région en Provence-Alpes-Côte-d’Azur).
Les kits “exercice de crise” mis à disposition dans le cadre du programme CaRE sont adaptés à différents niveaux de maturité : débutant, intermédiaire ou confirmé. Pour notre département, nous avons fait le choix du kit débutant afin de mettre les 13 établissements du GHT au même niveau.
« Au niveau réglementaire, l’enjeu est déjà d’appliquer ce qui nous est demandé. »
Faut-il renforcer les exigences en matière de cybersécurité ?
Il existe déjà de nombreuses normes et recommandations, et cette dynamique se poursuit avec la promulgation récente de la directive NIS 2, qui élargit son périmètre aux administrations publiques. Pour les établissements de santé, l’enjeu est déjà d’appliquer ce qui nous est demandé, et la tâche est immense. Le programme CaRE vise d’ailleurs à mettre tout le monde à niveau en déployant les mesures prioritaires de sécurité, que l’on retrouve dans le référentiel de la DGOS à destination des établissements de santé. Nous pourrons ensuite continuer les actions d’amélioration dans les programmes suivants.
